Avril, gusano de Correo, deshabilita antivirus, firewalls, roba Claves de Acceso, manipula el mouse, etc. 

© Jorge Machado  Lima-Perú

W32/Avril@mm, W32/Avron@mm, I.worm.Avron@mm

Avril es un gusano de origen ruso, reportado el 18 de Diciembre del 2002, de difusión masiva vía mensajes de correo y con una alta capacidad de infección en unidades compartidas de Redes LAN. Aleatoriamente infecta con tan solo leer el mensaje o ejecutando el archivo infectado. 

Posee una rutina para robar claves de acceso y otra para desactivar antivirus y firewalls. 

Está desarrollado en MS Visual C++, con una extensión de 26 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP

Los mensajes de correo tienen los siguientes formatos:

El campo De: puede contener una dirección capturada de un sistema previamente infectado o es elegido en forma aleatoria de esta lista: 

El Asunto: es seleccionado al azar de uno de los siguientes:

El Contenido: es uno de los siguientes formatos HTML elegido al azar:

Texto 1: 
EDUCATIONAL PURPOSE
Avril fans subscription
I wish you the sweetest thing

Texto 2: 
Restricted area response team (RART)

Attachment you sent to %random worm% is really good :-)
Well done!

SMTP session error #450: service not ready

Texto 3: 
>See this in attached files
>>New PICS of Avril Lavigne!!!
>>It is honourable when you do it!!!

El archivo Anexado es uno de los siguientes:

Este singular gusano puede aprovechar la vulnerabilidad denominada MIME Exploit para auto-ejecutarse con tan solo visualizar el mensaje, o de otro modo su contenido es un auténtico código HTML

Si el mensaje es visualizado o el archivo infectado es ejecutado, cualquiera sea el caso, el gusano se auto-copiará a la carpeta %System% con un nombre aleatorio, elegido de una serie de cadenas contenidos en su código con la extensión .EXE y para activarse al siguiente vez que se inicie el sistema modifica la llave de registro: 

[[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
default = %System%\%nombre_aleatorio_de_archivo%

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

A continuación el gusano captura los buzones de correo de la Libreta de Direcciones de Windows (WAB) y de los archivos con extensiones .DBX, .MBX, .WAB, .HTML, .EML, .HTM, .ASP y .SHTML y para auto-enviarse masivamente se conecta al servidor SMTP (Simple Mail Transfer Protocol) instalado por defecto en el sistema infectado.

Durante su propagación, este gusano crea un archivo de nombre NewBoot.sys en la carpeta Temporal de Windows y otro llamado listrecp.dll en el directorio de Windows, donde registrará los nombres de las direcciones de correo capturadas. 

También se copia con nombres aleatorios al directorio \RECYCLED en todas las unidades lógicas de los discos de las redes LAN y en el caso de no existir el mencionado directorio, se copiará al directorio raíz de cada una de las unidades de disco. 

Avron ejecuta una rutina que intenta desactivar los procesos de la mayoría de antivirus y firewalls, con lo cual dejará indefensos a los equipos infectados. 

Con el propósito de auto-ejecutarse, el gusano agrega una línea de comando al AUTOEXEC.BAT en el mismo disco de inicio y también activará su rutina de "robo" o captura de Claves de Acceso, la cual consiste en enumerar las Claves almacenadas en el "Cache" y enviarlas a la dirección otto_psws@pochta.ws con el Asunto: Password Got. (Password conseguido).

Esta es una dirección válida y usa el servidor de correo mail.pobox.ru registrado en el Russian Institute for Public Networks a nombre de:

Konstantin V. Nefedov
address: 2 Paveletskaya Square, Building 1 Moscow 113054 Russia.
phone: +7 095 7219209
fax-no: +7 095 7219201

Apenas recibida la muestra de este gusano, enviamos un mensaje en inglés al supuesto autor y nos contestó en idioma ruso, que traducido al español, negaba cualquier autoría del virus, pero amenazaba con atacar nuestro computador, desconociendo que le habíamos escrito desde un "servidor proxy anónimo" con un encabezado que de ninguna manera evidenciaba nuestra verdadera identidad o dirección IP.

El payload final de este gusano consiste en activar una rutina de movimiento aleatorio del mouse en la pantalla, en forma involuntaria al usuario, los días 04 y 24 de cada mes, además de intentar conectarse a este sitio en la web:

http://www.avril-lavigne.com

Este hecho, sumado a las características de los mensajes evidencian al autor de este virus, como un admirador de la bella cantante canadiense Avril Lavigne, recientemente nominada como la nueva revelación femenina de música POP en el BILLBOARD MUSIC AWARDS 2002

Lo prueba este archivo de texto creado por el gusano en el directorio temporal: 

Author ------> 2002 (c) Otto von Gutenberg
Made in -----> Almaty .::]Kazakhstan[::. (:;)--:>
Purpose -----> Only Educational
Virus name --> AVRIL (please do not change it)

[ATTENTION]
The author has no response of the damages
caused by AVRIL.

[DESCRIPTION]
For my lovely Avril Lavigne dedicated.
She lives in Canada and she's beautiful.
This is for AV companies:
Why? Why? Why don't you update your KB (knowledge bases)
on my serial and yet serious masterpieces?!
I guess that of AVRIL will get you thought of it.
NO DESTRUCTIVE ACTION!

[ACKNOWLEDGEMENT]
Antoher V0X & Hacker Group from Central Asia
Thanx to Rage, Razum and V-HiV; coderz.net, indovirus.net, securitylab.ru etc.

Thank you for ideas approach to us!!!
Bye

PER ANTIVIRUS® versión 7.8 con registro de virus al 18 de Diciembre del 2002 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS